Во вторник сходил на пресс-конференцию «Group-IB - лидер рынка расследований компьютерных преступлений - войдет в состав LETA Group».
В качестве докладчиков выступали Президент LETA Group Александр Чачава и Генеральный директор Group-IB Илья Сачков.
Думаю, большинству читателей будет интересно посмотреть презентацию:
Сразу замечу, что на мероприятие впервые были приглашены блогеры, пишущие на тему информационной безопасности. В этот раз на мероприятие пришли только я и Игорь Хайров, но думаю, что приглашать блогеров превратиться в хорошую традицию. Читательская аудитория у некоторых блогеров значительно больше, чем у большинства официальных СМИ, не говоря уже о том, что это целевая аудитория. Конечно, с блогерами появляется больше риска, что материал будет «не совсем положительный», но тем не менее...
Сначала немного о проблематике. Начнем с того, что у всех классических интеграторов по информационной безопасности бизнес построен таким образом, что они внедрят любую систему по любому стандарту, установят любые технические средства защиты. НО! На вопрос: «А что же делать если взломают?» Отвечают что-то вроде: «Ну, обращайтесь в правоохранительные органы». Как мы все знаем, реально, до суда, доводится мизерное количество дел по компьютерным преступлениям. Поэтому любому собственнику бизнеса становится невыгодно "заморачиваться" на поиск и поимку тех, кто это сделал. Как следствие, хакеры чувствуют полную безнаказанность и их аппетиты только растут. В результате работы по ИБ превращаются в бесконечную гонку вооружений: безопасники устанавливают заплатку на свою систему безопасности, хакеры находят новые уязвимости, безопасники снова устанавливают заплатку и т.д.
Вывод напрашивается сам собой - обеспечить безопасность только отбиваясь от «нападений» становится невозможно. Нужен проактивный подход. У обороняющейся стороны должна быть возможность ударить в ответ. В противном случае число попыток (в том числе и успешных) пробить оборону будет постоянно расти. Это, помните, как в детстве, если кого-то постоянно «обижают», а он не дает сдачи, то его будут обижать постоянно, стоит ему только «обидеть» кого-то в ответ, как все проблемы проходят сами собой. Другими словами, только при осознании неотвратимости (или высокой вероятности) наказания, число атак будет сокращаться.
В тех же США и странах западной Европы помимо спецслужб и органов внутренних дел к расследованию компьютерных преступлений привлекаются еще целая масса (сотни и тысячи) частных компаний, чья основная задача заключается в расследовании инцидентов ИБ и передаче материалов компетентным органам. Не смотря на то, что на западе объем этого рынка составляет миллиарды долларов, в России этого рынка по факту не существует. Единственной компанией, которая занимается такими вопросами, была и остается Group-IB, с генеральным директором которой нам уже удалось пообщаться раньше.
Что же было на двухчасовой конференции?
Презентация на пресс-конференции была разделена на 3 части:
- Киберпреступность в России. Реальность о которой мало известно
- Практика расследования компьютерных преступлений
- O Group-IB
Второй и третий пункты при желании можно посмотреть в презентации, лично мне больше были интересны «цифры».
Приведу лишь основные цифры, которые отражают реальное положение дел для России:
- Доходы хакеров в России перевалили за $1 млрд в год и продолжают быстро расти.
- 20$ стоимость заражения 1000 машин
- 200 – 500 Euro – DDoS атака до 20Гб (24 часа)
- Взлом сайта или форума: от $50
- Гарантированный взлом почтового ящика на Yandex, Mail, Rambler: от $45
- DDoS атака от $ 100
- Массовое внедрение троянского и шпионского ПО: $100
- Рассылка СПАМа (В российской действительности, СПАМ не является уголовно-наказуемым преступлением, а вот создание бот сетей и осуществление DDoS атак, согласно последним комментариям к УК РФ являются таковыми.)
- 400,000 компаний: $55
- 1,800,000 частных лиц: $100
- 90,000 компаний в Санкт-Петербурге: $30
- 450,000 частных лиц в Украине: $50
- 6,000,000 Частных лиц в России: $150
- 4,000,000 адресов на @mail.ru: $200
В материалах прошлых лет я встречал более высокие цены. Если учесть, что наказания за компьютерные преступления в России нет, де-факто нет, то цены низкие и продолжают падать, а качество таких услуг продолжает расти. И как я уже говорил изменить это положение дел можно только созданием условий неизбежности наказания.
Несогласие с позицией докладчиков за время конференции у меня появилась всего 1 раз. Когда Илья Сачков высказал мнение, что если законодательство и правоприменение будет развиваться так же медленно, как и сейчас, то через несколько лет в сети Интернет победит киберпреступность. Лично я с такой позицией не согласен. В истории человечества было немало примеров, когда теми или иными преступными сообществами «не занимались», а в последствии, когда государство осознавала реальную угрозу включалась «дубина», которая в считанные годы решала проблему. Учитывая, что хакерское сообщество не пираты семи морей, не наркобароны, и не мафиози с их закалкой, то простая угроза реальной «посадки» их резко охладит. И неважно сейчас начнут сажать или через несколько лет. Как говорил один из моих преподавателей по праву: «Суд не место для интеллигентного человека, а тюрьма для него неминуемая гибель».
Ну а теперь заключение.
С точки зрения бизнеса, в средне- и долгосрочной перспективе, я вижу хорошие перспективы в направлении "Расследование инцидентов ИБ". Глядя на запад становится очевидно, что в том или ином виде этот рынок сформируется и у нас. Конечно, у нас есть своя история, свой менталитет и т.д., НО! Спрос на такие услуги есть, хоть и не до конца сформированный. Если 2,5 года назад я поверил в направление защиты персональных данных, 1 год назад поверил в СТО БР ИББС, то сейчас у меня есть уверенность, что теперь рынок расследования инцидентов ИБ станет одним из самых быстрорастущих рынков (если не самым быстрорастущим). Все зависит от такого, насколько быстро удастся создать работающую модель бизнеса. В любом случае, как мне кажется, направление обречено на успех.
Опять я в спаме :)
))) Прикольно
Спам фильтру чем-то коммент не понравился, а мне показался прикольным
«Поэтому любому собственнику бизнеса становится невыгодно «заморачиваться” на поиск и поимку тех, кто это сделал.» (с) Милейший, может хватит чушь нести??? Частные лица не могут заниматься «поимкой», у нас в стране процедуры гражданского ареста нет. Субъектом ОРД собственник бизнеса тоже не является… Так что все равно надо в «органы» обращаться… То что Leta IT купила данную компанию — думаю ничего хорошего не будет… Не одна крупная структура не будет платить деньги сторонним компаниям за расследования своих инцидентов ( ИМХО), т.к. имеют свой штат СБ ( поверьте есть опыт- знаю что говорю)
Шутка юмора :)
«Уважаемые владельцы маленьких компаний, предлагающих услуги в сфере ИБ! Никогда не давайте интервью в блоге Евгения Царева, если не хотите, чтобы Вас не постигла участь компании Ильи Скачкова — бывшего генерального директора бывшей компании Group IB. Он не знал этого правила, и оопрометчиво его дал (https://tsarev.biz/news/rassledovanie-incidentov-informacionnoj-bezopasnosti/), за что и поплатился: канула его фирма в ЛЕТУ…»
Евгений, приглашаю Вас принять участие в обсуждении деятельности Group_IB на forum.razved.info/index.php?t=1314
Есть вопросы ;-)
Что ж, давайте ;-)
Хм..попробую посмотреть что может предложить компания расследующая инцидента компании — это, навскидку, 4 ценности:
1) возвращение денег
2) соответствие стандарту (PCI DSS)
3) наказание преступников
4) выяснение причин взлома
Обсуждаемая компания не позиционирует себя предоставляющей услуги по пункту 3, да и на практике компании работающие по PCI DSS часто предпочитают услуги заграничных не то что компаний а именно специалистов, так как они априори незамазаны в интригах внутри страны.
Четвертый пункт весьма спорен, так как обычно понятно где дыры в «заборе безопасности», просто банально то ли нет денег, то ли не успели залатать. Честно говоря одна существующая дыра через которую взломали ничем не отличается от другой существующей через которую можно взломать для атакующего.
Третий пункт был бы действительно интересен если бы в России работали суды (сейчас работают взятки а не суды), да и в этом случае киберпреступность глобальна а законодательство весьма различно в мире. Аргумент что пострадавшие не будут перебивать взятки злоумышленников а самостоятельно их накажут сложноприменим в общем случае, ведь злоумышленники могут проживать за границей да и много их может быть.
А вот первый пункт реально может быть интересен, но вот беда рекламируют в первую очередь какое-то «расследование инцидентов» а не помощь в возврате денег.
В общем не вижу предпосылок к быстрому росту, так как банально среда другая.
Если же компании будут иметь понятные услуги (например расследование по требованию PCI DSS именно таково) генерящие стабильные кеш-флоу в сочетании с уникальными услугами (как-то возврат денег) дающими фонды на развитие тогда рост может быть средний. А так..не от хорошей жизни компании продают. От хорошей приходит инвестор;)